Luka w zabezpieczeniach systemu Microsoft Windows została wykorzystana przez 11 grup hakerskich z różnych państw
Luka typu zero-day, monitorowana przez inicjatywę Zero Day Initiative (ZDI) firmy Trend Micro pod numerem ZDI-CAN-25373, to problem umożliwiający cyberprzestępcom wykonywanie ukrytych złośliwych poleceń na komputerze ofiary za pomocą zmodyfikowanych plików skrótów systemu Windows. Dla tych, co nie pamiętają Zero day to nieznana, niewykryta oficjalnie luka w zabezpieczeniach, która może zostać wykorzystana przez cyberprzestępców do przeprowadzenia ataku.
Do tej pory odkryto blisko 1000 artefaktów plików .LNK wykorzystujących błąd ZDI-CAN-25373, przy czym większość próbek powiązano z Evil Corp (Water Asena), Kimsuky (Earth Kumiho), Konni (Earth Imp), Bitter (Earth Anansi) i ScarCruft (Earth Manticore). Dane telemetryczne wskazują, że głównymi celami ataków wykorzystujących tę lukę stały się rządy, podmioty prywatne, organizacje finansowe, ośrodki analityczne, dostawcy usług telekomunikacyjnych oraz agencje wojskowe/obronne zlokalizowane w Stanach Zjednoczonych, Kanadzie, Rosji, Korei Południowej, Wietnamie i Brazylii. A teraz przejdziemy do informacji, jaką w tym temacie przekazał rzecznik firmy Microsoft.
Doceniamy pracę ZDI w przesłaniu tego raportu w ramach skoordynowanego ujawniania luk w zabezpieczeniach. Microsoft Defender ma wdrożone wykrywanie w celu wykrywania i blokowania tej aktywności zagrożenia, a Smart App Control zapewnia dodatkową warstwę ochrony poprzez blokowanie złośliwych plików z Internetu. Jako najlepszą praktykę bezpieczeństwa zachęcamy klientów do zachowania ostrożności podczas pobierania plików z nieznanych źródeł, zgodnie ze wskazaniami w ostrzeżeniach bezpieczeństwa, które zostały zaprojektowane w celu rozpoznawania i ostrzegania użytkowników przed potencjalnie szkodliwymi plikami. Chociaż interfejs użytkownika opisany w raporcie nie spełnia wymogów natychmiastowego serwisowania zgodnie z naszymi wytycznymi klasyfikacji powagi, rozważymy zajęcie się tym w przyszłej wersji funkcji — powiedział rzecznik Microsoftu.
Warto również w tym wypadku zwrócić uwagę na to, że .LNK znajduje się na liście niebezpiecznych rozszerzeń plików blokowanych w produktach, takich jak Outlook, Word, Excel, PowerPoint i OneNote. Oznacza to, że próba otwarcia takich plików pobranych z sieci automatycznie uruchamia ostrzeżenie bezpieczeństwa, które zaleca użytkownikom, aby nie otwierali plików z nieznanych źródeł. A my jedynie możemy w tej sprawie po raz kolejny podkreślić, aby każdy zwracał uwagę na to, co wpuszcza do swojego komputera.